0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Все о безопасности блокчейн

Все о безопасности блокчейн

Благодаря возросшему интересу к биткоину и другим криптовалютам, технология блокчейн начинает пользоваться все более широким спросом и известностью. Блокчейн – это крайне универсальное изобретение, а его предполагаемое применение выходит далеко за пределы IT-сферы.

Заслуженно ли данная система считается чуть ли не идеальной для проведения самых различных операций, либо мы упускаем какую-то важную информацию?

Как работает технология блокчейн

Давайте начнем с краткого описания того, как работает эта технология и как вообще блокчейн развивался в течение последних нескольких лет. По сути, он представляет собой некую цифровую книгу учета, которая дублируется на тысячи компьютеров и распределяет информацию между ними. Такие компьютеры называются «узлами».

У каждого пользователя есть публичный и приватный ключ – оба ключа являются безопасными и защищены шифрованием. Они позволяют совершать определенный набор действий в системе. Предположим, два пользователя хотят совершить обмен посредством валюты, например, биткоина. Один из пользователей при помощи своих публичного и приватного ключей запускает процесс транзакции, а другой, также используя свои ключи, подтверждает действие. В результате подобных совместных действий транзакция передается на рассмотрение в публичную одноранговую систему.

На этом этапе один из участков целой системы проверяет информацию о транзакции. Это делается для того, чтобы удостовериться, что данные совпадают с уже имеющейся информацией. Иначе говоря, в том случае, если проверяющие информацию узлы подтвердят, что запустившая транзакцию сторона на самом деле не обладает той криптовалютой, которую она пытается использовать для передачи, тогда транзакция будет отклонена. Если же информация о наличии средств подтвердится, то транзакция будет одобрена и станет новым «блоком» в цепи.

Главные принципы безопасности

Вам наверняка всегда было интересно, почему же блокчейн считается настолько безопасной системой? Ведь работающие подобным образом технологии – далеко не новинка. Да и, казалось бы, совместные действия пользователей, происходящие в цифровой среде, могут быть отслежены злоумышленниками.

По сути, подобные опасения более чем разумны. И именно они являются одной из причин настолько значительных скачков курса биткоина.

Основные особенности системы защиты блокчейна

Давайте рассмотрим основные особенности, благодаря которым система считается защищенной.

Основой технологии блокчейн является электронный реестр всех финансовых транзакций. Как правило, такие электронные «бухгалтерские книги» являются одной из главных точек уязвимости. Если злоумышленники получат доступ к главному реестру записей, то это может привести к полнейшему «падению» системы, ведь, получив доступ к записям, злоумышленник может украсть неограниченную сумму денег либо овладеть какой-либо личной информацией, просто просмотрев список транзакций.

В блокчейне реестр записей является децентрализованным – это означает, что одиночный компьютер или система не могут получить контроль над всей «бухгалтерской книгой». А значит, для того, чтобы получить доступ к главному реестру записей, понадобилось бы организовать невероятно сложную и четко скоординированную операцию, согласно которой в один момент тысячи устройств были бы атакованы одновременно.

Другим принципом, обеспечивающим исключительную безопасность, является сама цепь транзакций. Главный реестр записей представляет собой длинную цепочку последовательных блоков. Каждый блок, входящий в данную цепь, является лишь частью общей структуры, которая берет свое начало от самой первой произведенной в данной системе операции.

Это значит, что любому, кто решит изменить информацию об одной транзакции, перед этим придется крайне аккуратно и точно изменить все записи, ведущие к этой транзакции. Исходя из чего, предполагаемое вмешательство выглядит крайне сложным процессом, что также является одним из плюсов в построении безопасности блокчейна.

Другие элементы системы безопасности

Кроме того, есть также и другие элементы, обеспечивающие защиту блокчейна.

Более двух пользователей подтверждают и обеспечивают безопасность проводимой транзакции. Даже в большинстве современных процессинговых систем в проверке задействованы только несколько уровней верификации – как правило, это продавец, покупатель и какие-то третьи лица (чаще всего банк или кредитное агентство).

Однако в системе блокчейна существует от нескольких сотен до нескольких тысяч различных узлов, на каждом из которых хранится полная копия реестра записей. Поэтому любой из этих узлов также может участвовать в проверке транзакции, и если узел по каким-то причинам не принимает транзакцию, то она будет отменена. Подобный расклад почти до минимума снижает возможность создания ложной или мошеннической транзакции.

Читать еще:  Программа для тестирования материнской платы на ошибки

Криптографические ключи, используемые системой в обменных процессах, также являются чудом современной кибербезопасности. Каждый зашифрованный ключ представляет собой длинную, сложную последовательность данных, практически не поддающуюся расшифровке. А если учесть, что для подтверждения требуются два таких уникальных ключа, то система начинает выглядеть чуть ли не неприступной крепостью. При этом считается, что блокчейн обладает уникальной системой безопасности, потому что при подобном уровне защиты в нем удается сохранить почти полную прозрачность транзакций.

Самые незащищенные места

Но, как уже говорилось, даже блокчейн не идеален. У него, как и у любой другой системы, есть слабые места. Так что, если вы планируете использовать криптовалюту и вкладывать в неё свои средства, или если вам в будущем придется иметь дело с блокчейном, то просто необходимо знать и понимать потенциально уязвимые места технологии. Поэтому постарайтесь запомнить следующие особенности, касающиеся безопасности данной технологии:

Если вы решите создать систему на основе технологии блокчейн с нуля, то одна небольшая ошибка может стать фатальной и «положить» всю вашу разработку. Конечно же, это нельзя считать недостатком самого блокчейна – это, скорее, касается особенностей его использования. Кроме того, среднестатистическому человеку намного труднее разобраться в блокчейне из-за его сложности, что, в свою очередь, означает, что многие не до конца понимают риски, связанные с использование системы, а также не полностью используют доступный функционал.

Для работы блокчейна необходимы как минимум несколько сотен, а еще лучше несколько тысяч согласованно работающих узлов. Именно из-за этого система является крайне уязвимой к атакам на начальных этапах работы. К примеру, если какой-либо пользователь сможет получить контроль над 51% узлов системы, то он сможет полностью контролировать результат работы. А если в системе всего 20 узлов, то подобный вариант развития событий более чем возможен.

  • Скорость и эффективность сети

Структура блокчейна – это также одна из причин, по которой может быть нарушено нормальное функционирование системы. Так, если система получит слишком широкое распространение, а инфраструктура блокчейна окажется не готовой к такому объему операций, то в результате может снизиться скорость проведения транзакций, могут появиться проблемы с хранением данных, а это все не лучшим образом повлияет на эффективность сети.

Хоть и нельзя сказать, что данный пункт напрямую связан с безопасностью блокчейна, но политика системы может повлиять на ее применение и дальнейшее развитие. Учитывая то, что валюта в системе блокчейн является международной и децентрализованной, это, по сути, обесценивает национальную валюту, контролируемую государством. И, естественно, на данный момент управляющие органы некоторых государств стремятся ввести более строгие ограничения на использование блокчейна. Правительства разных стран надеются взять систему под контроль до того, как она станет серьезным конкурентом и начнет угрожать их экономике. Косвенным образом это также является существенной угрозой безопасности блокчейна, которая может значительно замедлить распространение технологии.

К примеру, NiceHash – сторонний рынок для майнинга биткоина – был не так давно взломан, в результате чего было украдено криптовалюты на более чем 60 миллионов долларов. Как оказалось, данная платформа была небезопасной. То есть, это не ошибка безопасности самой системы блокчейн. Скорее, наоборот, киберпреступники получили доступ к системе NiceHash при помощи блокчейна.

  • При транзакциях в системе blockchain используются публичные и приватные криптографические ключи

Сами по себе такие ключи взломать почти невозможно, однако киберпреступник может получить их более простым и привычным способом. Например, ключи можно достать в том случае, если вы храните их на небезопасной или слабозащищенной платформе. Так, если кто-то взломает ваш почтовый ящик, то он сможет получить доступ ко всем вашим письмам, а значит, и к ключам вашего профиля в блокчейне. В таком случае злоумышленник сможет завладеть вашими средствами, выдав себя за вас. И это один из главных вопросов, касающихся безопасности системы.

  • Традиционные мошеннические уловки

Пользователи системы также могут попасться на другие, более традиционные уловки мошенников. По сути, такие мошеннические схемы не считаются слабым местом в системе безопасности блокчейна. Так, к примеру, вы можете получить электронное письмо, в котором незнакомый вам человек будет убеждать вас, что именно вы стали тем счастливчиком, который выиграл что-то значительное. Либо же мошенники могут предложить вам потратить вашу криптовалюту на какой-то товар или услугу, которую вы никогда не получите.

Можно ли действительно назвать блокчейн защищенным?

Можно ли теперь, рассмотрев все эти пункты, с уверенностью сказать, что блокчейн – это защищенная и безопасная система?

Скорее, стоит сделать вывод, что система будет функционировать должным образом в том случае, если использовать ее правильно и аккуратно. Также стоит иметь в виду, что ее безопасность зависит от наличия достаточного количества пользователей, а многие бреши в безопасности появляются банально из-за человеческого фактора. Поэтому не стоит забывать, что у любой системы есть слабые места, и блокчейн совсем не исключение из этого правила.

Читать еще:  Как при общении по Skype отобразить свой экран компьютера или мобильного устройства

Серьезное влияние блокчейна на информационную безопасность

На этой неделе мы общаемся со Стефаном Ательевичем, Руководителем отдела контента и Комьюнити-менеджером в BitFortune. Имея обширный опыт в создании контента и любовь ко всему, что связано с криптовалютами, Стефан упорно работает над тем, чтобы помочь людям понять преимущества и потенциал крипто-индустрии. Вне работы Стефан любит узнавать о новых технологиях и инновациях в сфере ИТ-индустрии.

В нашу информационную эпоху вопрос безопасности данных стал одним из наиболее важных. Кажется, что вся наша жизнь стала отслеживаться через базы данных, а наша конфиденциальная информация стала уязвимой как никогда.

Вот почему информационная безопасность сегодня крайне актуальна. Хакерство превратилось в серьезную и распространенную проблему кибер-пространства, и организации со всего света вовлечены в своего рода гонку вооружений, чтобы устранить существующие недостатки в своих сетях и укрепить их против будущих кибер-атак.

Но для борьбы с растущей кибер-угрозой было создано новое оружие – технология блокчейн.

Что такое технология блокчейн?

Технология блокчейн, которая возникла при создании Bitcoin, — это своего рода распределенный реестр, который обрабатывает данные новым, весьма загадочным образом.

Информация хранится по всей сети в виде блоков с данными, которые защищены с помощью криптографии. Эти данные должны быть «добыты», что означает необходимость решения сложных математических головоломок для добавления к блокам. Затем решение показывается другим участникам сети блокчейн, которые проверяют его и прикрепляют указанные данные к блокам.

Если кто-то вводит новую часть данных в систему, она должна быть сперва проверена как минимум 51% участников сети блокчейн перед тем, как будет добавлена в новый блок. Как следствие, не существует некоего центрального хаба, где хранится вся информация. Вместо этого, она равномерно распределяется между пользователями. Это резко контрастирует с типичными методами централизованного хранения данных, используемыми во всем мире.

То, что добавляется в блоки, не может быть удалено и может быть просмотрено всеми участниками блокчейна (приватный блокчейн) или кем угодно (публичный блокейн). Это гарантирует, что никакие изменения в сети блокчейн не ускользнут из поля зрения.

В целом, мы можем определить блокчейн следующими характеристиками:

  • Он децентрализован
  • Он неизменен
  • Он прозрачен

И именно эти черты делают его отличным решением для вопросов информационной безопасности.

Как блокчейн может усилить информационную безопасность

Децентрализация блокчейна значительно снижает вероятность фальсификации баз данных. Способ, которым хакерам обычно удается заполучить информацию, заключается в атаке того места, где кластеризованы все данные — мейнфрейма. В блокчейне это практически невозможно.

Потому что вся информация хранится распределенно по сети блокчейн, а потому для хакеров не существует той артерии данных, которую необходимо атаковать. Вместо этого им потребуется повредить одни и те же данные во всех блоках. Видя, что каждое изменение в блокчейне становится заметным всем участникам, причем оно должно быть утверждено их большинством, то такая атака потребовала бы безумного объема компьютерных мощностей, что мгновенно останавливает практически любого кибер-преступника от такого подвига.

Прозрачность и неизменность

Публичная сеть имеет то преимущество, что все ее данные находятся в поле зрения общественности. Любое изменение, сделанное в ней, неизбежно выявляется, легко обнаруживается и отслеживается любым, кто достаточно внимательно следит за изменениями. Обладая сотнями или даже тысячами глаз на этой незримой смотровой площадке, вероятность того, что изменения могут пройти незамеченными, практически равна нулю.

Кроме того, благодаря хэшированию, когда строка данных добавляется или изменяется, новая запись и предыдущая запись остаются видимыми, т.к. ни одна из них не может быть стерта. Таким образом, кибер-преступники сталкиваются с еще одной проблемой – отчетливо видимым «маркером», который указывает на каждый шаг их атаки.

В этом случае начинающий кибер-преступник должен будет незаметно войти в сеть блокчейн, сделать свои разрушающие действия с информацией и также незаметно уйти. Добавьте к этому ранее обсуждавшийся вопрос сложности доступа к каждому блоку, и вы получите задачу, слишком невыполнимую для практически каждого, кто хотел бы эффективно ее решить.

Мягкие точки безопасности блокчейна

Хотя все это представляет собой значительное повышение уровня безопасности данных, все же блокчейн не является абсолютно безопасным вариантом, поскольку в прошлом уже были крупномасштабные нарушения данных, такие как печально известный инцидент Mt Gox. Этой технологией можно злоупотреблять и манипулировать, но для этого потребуется значительно больше времени, ресурсов и усилий, чем в случае с традиционными технологиями.

В настоящее время наибольшей брешью в броне блокчейна являются централизованные биржи. Они более открыты к атакам в силу своей централизованной природы. Но именно из-за частых злонамеренных попыток украсть денежные средства с таких бирж, их ценность будет снижаться, а децентрализованные биржи, безусловно, станут нормой так скоро, как только технология получит достаточную известность и признание.

Читать еще:  Как открыть системную папку на iphone 4s?

Впрочем, скоординированная атака все еще может случиться на самом блокчейне, в котором один участник или группа участников, владеющие большей частью майнинговых мощностей, сможет контролировать его так, как ей захочется.

Это называется «атака 51%», и она может нанести серьезный урон, как видно из Bitcoin Gold. Однако количество организаций и ресурсов, необходимых для подобного рода операций, делает такую атаку очень слабой проблемой для огромных платформ блокчейн с намного более высоким уровнем хеширования, чем первоначальный Bitcoin.

Блокчейн возьмет на себя защиту данных

Некоторые организации начали внедрять технологию блокчейна с выдающимися результатами. Например, эстонская софтверная компания Guardtime увидела, что ее блокчейн KSI инициирует заметные улучшения в работе эстонского правительства, например, в сфере морских перевозок и страхования, которые требуют серьезной реструктуризации.

Есть лишь немного сомнений в том, что эта революционная технология радикально повысит уровень безопасности данных, т.к. ее характеристики лучше всего подходят для противостояния все более частым нападкам и атакам со стороны кибер-преступников. И сдвиг в сторону блокчейна уже происходит.

Блокчейн явно зарекомендовал себя «дезинтегратором» индустрии, даже за пределами сектора информационной безопасности. Чтобы точно увидеть, как блокчейн меняет отрасли индустрии, посмотрите инфографику в конце этой статьи. В нем говорится о том, что делает блокчейн, чтобы изменить индустрию и поставить ее на совершенно другой, более высокий уровень.

Информационная безопасность

Аналитика, обзоры, исследования из мира Информационной Безопасности | (с) Иван Пискунов

МОИ ПРОЕКТЫ

пятница, 1 декабря 2017 г.

Блокчейн: атаки, безопасность и криптография

  • Подтвердить авторство отправителя сообщения
  • Гарантировать, что отправленное и подтвержденное через ЭП сообщение никто не сможет подделать

  • Зная хеш-сумму (в нашем случае 3) нельзя определить исходный номер телефона.
  • Нельзя подогнать номер телефона под заранее известную сумму (в нашем примере неприменимо, обязательно для bitcoin).
  • Малое изменение номера телефона приведет к кардинальному изменению хеша (в нашем примере неприменимо, но обязательно для bitcoin).

Данный пример взят из статьи на Хабре.

Блокчейн, по мимо ИТ-феномена еще и явление социальное, вспомните хотя бы хайп вокруг биткоина и майнинг-фермы в Китае! А как известно в любой социальной группе рано или поздно происходят попытки обмана (мошенничества).

И так рассмотрим наиболее реалистичные и ключевые атаки на технологию Блокчейн и продукты построенные на его основе.

По сути майнинг подобен перебору лотерейных билетов. С разной вероятностью выигрыша. Так что для успешной атаки можно иметь даже меньше 51 процента мощности. Вероятность успеха при этом будет падать, но преступник может надеяться, что ему повезет.

Закрытый ключ — теория

Приватный ключ — это довольно общий термин и в различных алгоритмах электронной подписи могут использоваться различные типы приватных ключей.

Постараемся его представить: согласно этой статье, на всей Земле немногим меньше песчинок. Воспользуемся тем, что , то есть песчинок . А всего адресов у нас , примерно .

Открытый (публичный) ключ — теория

ECDSA в биткойне

  • Выбирается некоторое целое k в пределах от 1 до n-1
  • Рассчитывается точка (х, у) = k * G с использованием скалярного умножения
  • Находится r = х mod n. Если r = 0, то возврат к шагу 1
  • Находится s = (z + r * d) / k mod n. Если s = 0, то возврат к шагу 1
  • Полученная пара (r, s) является нашей подписью
  • Проверка, что и r, и s находятся в диапазоне от 1 до n-1
  • Рассчитывается w = s -1 mod n
  • Рассчитывается u = z * w mod n
  • Рассчитывается v = r * w mod n
  • Рассчитывается точка (x, y) = uG + vQ
  • Если r = x mod n, то подпись верна, иначе — недействительна

Безопасность ECDSA связана со сложностью задачи поиска секретного ключа, описанной выше. Помимо этого, безопасность исходной схемы зависит от «случайности» выбора k при создании подписи. Если одно и то же значение k использовать более одного раза, то из подписей можно извлечь секретный ключ, что и произошло с PlayStation 3. Поэтому современные реализации ECDSA, в том числе используемые в большинстве биткойн-кошельков, генерируют k детерминировано на основе секретного ключа и подписываемого сообщения.

Отечественный ГОСТ Р 34.10-2012 vs ECDSA

ГОСТ Р 34.10-2012 — российский стандарт, описывающий алгоритмы формирования и проверки электронной цифровой подписи. Принят и введён в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года № 215-ст вместо утратившего силу предыдущего ГОСТ Р 34.10-2001.

ГОСТ Р 34.10-2012 основан на эллиптических кривых. Стойкость этих алгоритмов основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хэш-функции.

После подписывания сообщения М к нему дописывается цифровая подпись размером 512 или 1024 бит и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector